Symantec Security Response Weblog
Spammers Exploring New File Formats」より
August 14,2009 Posted by Mayur Kulkarni

 我々は先日,フィッシングやメール・アドレス収集,419詐欺(ナイジェリア詐欺という。419はナイジェリア刑法419条に抵触するという意味)といった様々な目的のスパム・キャンペーンで,HTML添付ファイルがどのように悪用されるか解説した。スパム・メール送信者(スパマー)は新たな形式のファイルを添付することで,またもやスパム対策フィルタをすり抜けようとしている。これまでのHTML形式の添付ファイルと同様,新たなファイル・フォーマットも異なる種類のスパムで使われ始めた。

 最初に取り上げる例は,フィッシング・メールに添付されたMHTファイルである。WebページをInternet Explorer(IE)でWebアーカイブとして保存すると,Multipurpose Internet Mail Extension HTML形式のファイルとなり,ファイル名に拡張子「MTH」が付く(Webアーカイブ機能の詳細については,マイクロソフトのWebサイトを参照してほしい)。添付されたMHTファイルは通常のHTMLファイルと同様に機能し,一見無害なWebページを開く。この例のWebページはある銀行の正式なWebページとうり二つで,メール受信者に重要な取引情報の入力を求める。ところが入力された情報は,フィッシング犯のWebサイトに送られる。さらに大きな問題がある。この種の添付ファイルは,添付HTMLファイルと同じくファイル自体が悪質なもので,被害をもたらす恐れがあるのだ。

 イタリア語で書かれていたメール本文は以下の通り。

お客様へ(銀行名)

安全上の理由から,お客様のオンライン・バンキング用アカウントは現在利用できません。

当行は,お客様とお客様のアカウントを守るセキュリティ対策を導入しております。アカウントを再び利用できるようにするには,アカウントを取得されたお客様の身元情報を入力し,情報不正取得の被害に遭われていないことの確認が必要です。

お手数をかけてしまい大変申し訳ありません。ご協力をお願いいたします。

(銀行名と住所)

 二つ目の例は,eFax文書用ファイル・フォーマットのEFXという新たな形式の添付ファイルを使う419詐欺だ。eFaxは,メール添付といったデジタル方式でファクシミリ文書を送受信できるサービスである。419詐欺に加担している連中は以前からTXT/DOC/RTF/PDF/HTML形式のファイルを使っていたが,EFXも悪用するようになったのだ。eFaxのようなサービスは単純だし,EFXは広く使われているファイル形式なので,詐欺師たちは試してみたくなったのだろう。「試してみたくなった」と書いたのは,結果的に問題の添付ファイルは開けなかったからだ。

 別のスパム・キャンペーンで新たなファイル・フォーマットを使う目的は,スパム対策フィルタとユーザーの両方を混乱させるだろう。当社(米シマンテック)は継続的にこういった攻撃を監視し,効果の高いフィルタの作成を続け,新たな攻撃の情報を漏れなくユーザーに知らせていく。ただし,ユーザーも添付ファイルを開く際には注意してほしい。信頼できるところから届いたものかどうか確かめるようにしよう。知らない形式のファイルは用心し,目新しい形式の場合は開く前にそのファイルの機能をきちんと理解する必要がある。

注:記事執筆に協力してくれたDanyang Wang氏に感謝する。


Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Spammers Exploring New File Formats」でお読みいただけます。